Enkripsi saat istirahat untuk EMRFS di S3 Enkripsi saat istirahat untuk WAL Enkripsi disk lokal Enkripsi bergerak

Opsi enkripsi untuk Amazon EMR

Dengan Amazon EMR merilis 4.8.0 dan yang lebih tinggi, Anda dapat menggunakan konfigurasi keamanan untuk menentukan pengaturan untuk mengenkripsi data saat istirahat, data dalam perjalanan, atau keduanya. Saat mengaktifkan enkripsi data saat istirahat, Anda dapat memilih untuk mengenkripsi EMRFS data di Amazon S3, data di disk lokal, atau keduanya. Setiap konfigurasi keamanan yang Anda buat disimpan di Amazon dan EMR bukan di konfigurasi cluster, sehingga Anda dapat dengan mudah menggunakan kembali konfigurasi untuk menentukan pengaturan enkripsi data setiap kali Anda membuat klaster. Untuk informasi selengkapnya, lihat Buat konfigurasi keamanan dengan EMR konsol Amazon atau dengan AWS CLI.

Diagram berikut menunjukkan pilihan enkripsi data yang berbeda tersedia dengan konfigurasi keamanan.

Ada beberapa opsi enkripsi dalam transit dan istirahat yang tersedia dengan Amazon. EMR

Opsi enkripsi berikut juga tersedia dan tidak dikonfigurasi menggunakan konfigurasi keamanan:

Secara opsional, dengan Amazon EMR versi 4.1.0 dan yang lebih baru, Anda dapat memilih untuk mengonfigurasi enkripsi transparan. HDFS Untuk informasi selengkapnya, lihat Enkripsi transparan HDFS di Amazon EMR di Panduan EMR Rilis Amazon.
Jika Anda menggunakan versi rilis Amazon EMR yang tidak mendukung konfigurasi keamanan, Anda dapat mengonfigurasi enkripsi untuk EMRFS data di Amazon S3 secara manual. Untuk informasi selengkapnya, lihat Menentukan enkripsi EMRFS Amazon S3 menggunakan properti.
Jika Anda menggunakan EMR versi Amazon lebih awal dari 5.24.0, volume perangkat EBS root terenkripsi hanya didukung saat menggunakan kustom. AMI Untuk informasi selengkapnya, lihat Membuat kustom AMI dengan volume perangkat EBS root Amazon terenkripsi di Panduan EMRManajemen Amazon.

catatan

Dimulai dengan Amazon EMR versi 5.24.0, Anda dapat menggunakan opsi konfigurasi keamanan untuk mengenkripsi perangkat EBS root dan volume penyimpanan saat Anda menentukan AWS KMS sebagai penyedia kunci Anda. Untuk informasi selengkapnya, lihat Enkripsi disk lokal.

Enkripsi data memerlukan kunci dan sertifikat. Konfigurasi keamanan memberi Anda fleksibilitas untuk memilih dari beberapa opsi, termasuk kunci yang dikelola oleh AWS Key Management Service, kunci yang dikelola oleh Amazon S3, serta kunci dan sertifikat dari penyedia khusus yang Anda berikan. Saat menggunakan AWS KMS sebagai penyedia kunci Anda, biaya berlaku untuk penyimpanan dan penggunaan kunci enkripsi. Untuk informasi lebih lanjut, lihat AWS KMS harga.

Sebelum Anda menentukan opsi enkripsi, tentukan kunci dan sistem pengelolaan sertifikat yang ingin Anda gunakan, sehingga Anda dapat terlebih dahulu membuat kunci dan sertifikat atau penyedia kustom yang Anda tentukan sebagai bagian dari pengaturan enkripsi.

Enkripsi saat istirahat untuk EMRFS data di Amazon S3

Enkripsi Amazon S3 berfungsi dengan objek Amazon EMR File System (EMRFS) yang dibaca dan ditulis ke Amazon S3. Anda menentukan enkripsi sisi server Amazon S3 (SSE) atau enkripsi sisi klien (CSE) sebagai mode enkripsi Default saat Anda mengaktifkan enkripsi saat istirahat. Secara opsional, Anda dapat menentukan metode enkripsi yang berbeda untuk setiap bucket menggunakan Per penimpaan enkripsi bucket. Terlepas dari apakah enkripsi Amazon S3 diaktifkan, Transport Layer Security (TLS) mengenkripsi EMRFS objek yang sedang transit antara node EMR cluster dan Amazon S3. Untuk informasi selengkapnya tentang enkripsi Amazon S3, lihat Melindungi data menggunakan enkripsi di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

catatan

Saat Anda menggunakan AWS KMS, biaya berlaku untuk penyimpanan dan penggunaan kunci enkripsi. Untuk informasi lebih lanjut, lihat AWS KMS Harga.

Enkripsi sisi server Amazon S3

Saat Anda mengatur enkripsi sisi server Amazon S3, Amazon S3 akan mengenkripsi data pada tingkat objek saat menulis data ke disk dan mendekripsi data saat diakses. Untuk informasi selengkapnyaSSE, lihat Melindungi data menggunakan enkripsi sisi server di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Anda dapat memilih di antara dua sistem manajemen kunci yang berbeda saat Anda menentukan SSE di AmazonEMR:

SSE-S3 - Amazon S3 mengelola kunci untuk Anda.
SSE- KMS - Anda menggunakan AWS KMS key untuk mengatur dengan kebijakan yang cocok untuk AmazonEMR. Untuk informasi selengkapnya tentang persyaratan utama AmazonEMR, lihat Menggunakan AWS KMS keys untuk enkripsi.

SSEdengan kunci yang disediakan pelanggan (SSE-C) tidak tersedia untuk digunakan dengan Amazon. EMR

Enkripsi di sisi klien Amazon S3

Dengan enkripsi sisi klien Amazon S3, enkripsi dan dekripsi Amazon S3 berlangsung di klien di cluster Anda. EMRFS Objek dienkripsi sebelum diunggah ke Amazon S3 dan didekripsi setelah diunduh. Penyedia yang Anda tentukan menyediakan kunci enkripsi yang digunakan klien. Klien dapat menggunakan kunci yang disediakan oleh AWS KMS (CSE-KMS) atau kelas Java kustom yang menyediakan kunci root sisi klien (CSE-C). Spesifikasi enkripsi sedikit berbeda antara CSE - KMS dan CSE -C, tergantung pada penyedia yang ditentukan dan metadata objek yang didekripsi atau dienkripsi. Untuk informasi selengkapnya tentang perbedaan ini, lihat Melindungi data menggunakan enkripsi sisi klien di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

catatan

Amazon S3 CSE hanya memastikan bahwa EMRFS data yang dipertukarkan dengan Amazon S3 dienkripsi; tidak semua data pada volume instans cluster dienkripsi. Selain itu, karena Hue tidak menggunakanEMRFS, objek yang ditulis oleh Browser File Hue S3 ke Amazon S3 tidak dienkripsi.

Enkripsi saat istirahat untuk data di Amazon EMR WAL

Saat Anda menyiapkan enkripsi sisi server (SSE) untuk write-ahead logging ()WAL, Amazon EMR mengenkripsi data saat istirahat. Anda dapat memilih dari dua sistem manajemen kunci yang berbeda saat Anda menentukan SSE di AmazonEMR:

SSE-EMR-WAL: Amazon EMR mengelola kunci untuk Anda. Secara default, Amazon EMR mengenkripsi data yang Anda simpan di Amazon EMR WAL SSE-EMR-WAL.
SSE-KMS-WAL: Anda menggunakan AWS KMS kunci untuk menyiapkan kebijakan yang berlaku untuk Amazon EMRWAL. Untuk informasi selengkapnya tentang persyaratan utama untuk AmazonEMR, lihatMenggunakan AWS KMS keys untuk enkripsi.

Anda tidak dapat menggunakan kunci Anda sendiri SSE ketika Anda mengaktifkan WAL dengan AmazonEMR. Untuk informasi selengkapnya, lihat Write-ahead logs (WAL) untuk Amazon. EMR

Enkripsi disk lokal

Mekanisme berikut bekerja sama untuk mengenkripsi disk lokal saat Anda mengaktifkan enkripsi disk lokal menggunakan konfigurasi EMR keamanan Amazon.

Enkripsi sumber terbuka HDFS

HDFSpertukaran data antara instance cluster selama pemrosesan terdistribusi. Itu juga membaca dari dan menulis data ke volume penyimpanan instance dan EBS volume yang dilampirkan ke instance. Opsi enkripsi Hadoop sumber terbuka berikut diaktifkan ketika Anda mengaktifkan enkripsi disk lokal:

Secure Hadoop RPC diatur kePrivacy, yang menggunakan Simple Authentication Security Layer (). SASL
Enkripsi data pada transfer data HDFS blok diatur ke true dan dikonfigurasi untuk menggunakan enkripsi AES 256.

catatan

Anda dapat mengaktifkan enkripsi Apache Hadoop tambahan dengan mengaktifkan enkripsi dalam transit. Untuk informasi selengkapnya, lihat Enkripsi bergerak. Pengaturan enkripsi ini tidak mengaktifkan enkripsi HDFS transparan, yang dapat Anda konfigurasi secara manual. Untuk informasi selengkapnya, lihat Enkripsi transparan HDFS di Amazon EMR di Panduan EMR Rilis Amazon.

Enkripsi penyimpanan instans

EC2Misalnya jenis yang menggunakan NVMe berbasis SSDs sebagai volume penyimpanan instans, NVMe enkripsi digunakan terlepas dari pengaturan EMR enkripsi Amazon. Untuk informasi selengkapnya, lihat NVMeSSDvolume di Panduan EC2 Pengguna Amazon. Untuk volume penyimpanan instans lainnya, Amazon EMR menggunakan LUKS untuk mengenkripsi volume penyimpanan instans saat enkripsi disk lokal diaktifkan terlepas dari apakah EBS volume dienkripsi menggunakan EBS enkripsi atau. LUKS

EBSenkripsi volume

Jika Anda membuat klaster di Wilayah tempat EC2 enkripsi EBS volume Amazon diaktifkan secara default untuk akun Anda, EBS volume akan dienkripsi meskipun enkripsi disk lokal tidak diaktifkan. Untuk informasi selengkapnya, lihat Enkripsi secara default di Panduan EC2 Pengguna Amazon. Dengan enkripsi disk lokal diaktifkan dalam konfigurasi keamanan, EMR pengaturan Amazon lebih diutamakan daripada EC2 encryption-by-default pengaturan Amazon untuk instance clusterEC2.

Opsi berikut tersedia untuk mengenkripsi EBS volume menggunakan konfigurasi keamanan:

EBSEnkripsi — Dimulai dengan Amazon EMR versi 5.24.0, Anda dapat memilih untuk mengaktifkan EBS enkripsi. Opsi EBS enkripsi mengenkripsi volume perangkat EBS root dan volume penyimpanan yang terpasang. Opsi EBS enkripsi hanya tersedia ketika Anda menentukan AWS Key Management Service sebagai penyedia kunci Anda. Kami merekomendasikan menggunakan EBS enkripsi.
LUKSenkripsi — Jika Anda memilih untuk menggunakan LUKS enkripsi untuk EBS volume Amazon, LUKS enkripsi hanya berlaku untuk volume penyimpanan terlampir, bukan untuk volume perangkat root. Untuk informasi selengkapnya tentang LUKS enkripsi, lihat spesifikasi LUKS on-disk.

Untuk penyedia kunci, Anda dapat menyiapkan kebijakan AWS KMS key dengan yang sesuai untuk AmazonEMR, atau kelas Java kustom yang menyediakan artefak enkripsi. Saat Anda menggunakan AWS KMS, biaya berlaku untuk penyimpanan dan penggunaan kunci enkripsi. Untuk informasi selengkapnya, lihat harga AWS KMS.

catatan

Untuk memeriksa apakah EBS enkripsi diaktifkan pada cluster Anda, disarankan agar Anda menggunakan DescribeVolumes API panggilan. Untuk informasi selengkapnya, lihat DescribeVolumes. Berjalan lsblk di cluster hanya akan memeriksa status LUKS enkripsi, bukan EBS enkripsi.

Enkripsi bergerak

Beberapa mekanisme enkripsi diaktifkan dengan enkripsi dalam transit. Ini adalah fitur sumber terbuka, khusus aplikasi, dan mungkin berbeda menurut rilis Amazon. EMR Untuk mengaktifkan enkripsi dalam transit, gunakan Buat konfigurasi keamanan dengan EMR konsol Amazon atau dengan AWS CLI di AmazonEMR. Untuk EMR cluster dengan enkripsi in-transit diaktifkan, Amazon EMR secara otomatis mengonfigurasi konfigurasi aplikasi sumber terbuka untuk mengaktifkan enkripsi dalam transit. Untuk kasus penggunaan lanjutan, Anda dapat mengonfigurasi konfigurasi aplikasi sumber terbuka secara langsung untuk mengganti perilaku default di Amazon. EMR Untuk informasi selengkapnya, lihat matriks dukungan enkripsi dalam transit dan Konfigurasi aplikasi.

Lihat berikut ini untuk mempelajari detail lebih spesifik tentang aplikasi sumber terbuka yang relevan dengan enkripsi dalam perjalanan:

Saat Anda mengaktifkan enkripsi dalam transit dengan konfigurasi keamanan, Amazon EMR mengaktifkan enkripsi dalam transit untuk semua titik akhir aplikasi sumber terbuka yang mendukung enkripsi dalam perjalanan. Support untuk enkripsi dalam perjalanan untuk titik akhir aplikasi yang berbeda bervariasi menurut versi EMR rilis Amazon. Untuk informasi selengkapnya, lihat matriks dukungan enkripsi dalam transit.
Anda dapat mengganti konfigurasi sumber terbuka, yang memungkinkan Anda melakukan hal berikut:
- Nonaktifkan verifikasi TLS nama host jika TLS sertifikat yang disediakan pengguna tidak memenuhi persyaratan
- Nonaktifkan enkripsi dalam perjalanan untuk titik akhir tertentu berdasarkan persyaratan kinerja dan kompatibilitas Anda
- Kontrol TLS versi dan cipher suite mana yang akan digunakan.
Anda dapat menemukan detail lebih lanjut tentang konfigurasi khusus aplikasi dalam matriks dukungan enkripsi dalam transit
Selain mengaktifkan enkripsi dalam transit dengan konfigurasi keamanan, beberapa saluran komunikasi juga memerlukan konfigurasi keamanan tambahan bagi Anda untuk mengaktifkan enkripsi dalam perjalanan. Misalnya, beberapa endpoint aplikasi open-source menggunakan Simple Authentication and Security Layer (SASL) untuk enkripsi in-transit, yang mengharuskan otentikasi Kerberos diaktifkan dalam konfigurasi keamanan cluster. EMR Untuk mempelajari lebih lanjut tentang titik akhir ini, lihat matriks dukungan enkripsi dalam transit.
Kami menyarankan Anda menggunakan perangkat lunak yang mendukung TLS v1.2 atau lebih tinggi. EMRAmazon EC2 mengirimkan distribusi JDK Corretto default, yang menentukan versi, cipher suite, dan ukuran kunci TLS mana yang diizinkan oleh jaringan sumber terbuka yang berjalan di Java. Saat ini, sebagian besar kerangka kerja sumber terbuka memberlakukan TLS v1.2 atau lebih tinggi untuk Amazon EMR 7.0.0 dan rilis yang lebih tinggi. Ini karena sebagian besar kerangka kerja sumber terbuka berjalan di Java 17 untuk Amazon EMR 7.0.0 dan yang lebih tinggi. Versi EMR rilis Amazon yang lebih lama mungkin mendukung TLS v1.0 dan v1.1 karena mereka menggunakan versi Java yang lebih lama, tetapi Corretto JDK mungkin mengubah TLS versi mana yang didukung Java, yang mungkin memengaruhi rilis Amazon yang ada. EMR

Anda menentukan artefak enkripsi yang digunakan untuk enkripsi dalam transit di salah satu dari dua cara: baik dengan menyediakan file zip sertifikat yang Anda upload ke Amazon S3, atau dengan referensi kelas Java kustom yang menyediakan artefak enkripsi. Untuk informasi selengkapnya, lihat Menyediakan sertifikat untuk mengenkripsi data dalam perjalanan dengan enkripsi Amazon EMR.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Enkripsi data saat istirahat dan dalam perjalanan dengan Amazon EMR

Buat kunci dan sertifikat untuk enkripsi data dengan Amazon EMR